Blackpoint Cyberは、ユーザーをだましてAmatera Stealerをインストールさせる新たな偽CAPTCHAキャンペーンを発見しました。正規のMicrosoftスクリプトを悪用し、悪意あるコードをGoogleカレンダーやPNG画像に隠すことで、この攻撃は標準的なセキュリティを回避し、個人のパスワードやブラウザデータを収集します。
2026年1月23日(金)、サイバー脅威監視企業のBlackpoint Cyberは、ハッカーが人々をだまして自分自身のコンピュータに感染させる巧妙な新手口を明らかにしました。この最新の手口は、偽の「私はロボットではありません」チェックを利用してセキュリティを回避し、Amatera Stealerと呼ばれるデータ窃取プログラムをインストールします。
罠の仕組み
私たちの多くは、人間であることを証明するためにチェックボックスをクリックしたり信号機を選んだりすることに慣れています。しかし、この攻撃では偽CAPTCHAが使われており、Blackpoint Cyberの研究者がHackread.comと共有したブログ投稿で説明しています。単なるクリックの代わりに、サイトはユーザーにWindowsキー + Rを押し、コードを貼り付けてEnterを押すといったキーボードショートカットの実行を求めます。
レポート執筆者のJack Patrick氏とSam Decker氏は、これは単なる無作為な手順の羅列ではないと指摘しています。これを行うことで、ユーザーは気づかないうちに感染を開始するコマンドを実行してしまいます。ハッカーは、SyncAppvPublishingServer.vbsというWindowsに組み込まれたツールを使って痕跡を隠します。
これはLOLBin(Living Off the Land Binary)として知られており、仮想アプリを管理するために使われる本物のMicrosoftスクリプトを意味します。このツールは署名済みで信頼されたWindowsの一部であるため、多くのアンチウイルスは悪意ある動作が起きていることに気づきません。
目立たない場所に隠れる
この攻撃は妙に慎重で、セキュリティサンドボックス(自動テスト環境)に監視されていることを検知したり、ユーザーが手順を正確に実行しなかったりすると、単に停止します。さらに、実際に人間がコマンドを貼り付けたことを示す特定のマーカーを確認するため、クリップボードもチェックします。スクリプトがこれを見つけられない場合、無限待機状態に入り、解析を避けるために事実上「死んだふり」をします。
研究者はまた、この仕組みが公開Googleカレンダー(.ics)ファイルから実際に指示を取得していることも突き止めました。Googleのような信頼されたサイトを利用することで、ハッカーはインターネット通信を通常のものに見せかけます。さらに、実際のウイルスを一見普通の画像(PNGファイル)の中に隠し、Imgurのような公開サイトにホストします。
ステガノグラフィと呼ばれる手口を使い、ピクセルデータのごく小さな部分に悪意あるコードを隠します。研究者を混乱させるために、スクリプトはAMSI_RESULT_NOT_DETECTEDという復号キー名まで使用しており、これは通常、セキュリティソフトがファイルを安全だと判断する際に使う用語です。
最終目的:Amatera Stealer
この一連の流れの最後に届けられるのがAmatera Stealerで、保存されたパスワード、クレジットカード情報、ブラウザデータを奪うよう設計されたウイルスです。さらに、microsoft.comやfacebook.comのような一般的なサイトに接続しているふりをして、通信を隠そうとします。
また、この特定の手口は、App-V機能が有効になっている最新のWindows 10、11、またはServerエディションでのみ機能することも重要です。基本的なWindowsのHome版を使用している場合、この攻撃はおそらく失敗します。
Blackpoint Cyberの研究者は、真の危険性は、ハッカーが他者のインフラを利用して発見を逃れている点にあると結論づけています。安全を保つために、ウェブサイトからコマンドをコピーしてコンピュータの「ファイル名を指定して実行」ボックスに貼り付けることは決してしないよう提案しています。
翻訳元: https://hackread.com/fake-captcha-scam-microsoft-tools-amatera-stealer/
